Column


Column Bart Verhaar

3 tips voor een betere nachtrust

Wat houdt directeuren en aandeelhouders wakker? Een tegenvallende winst? Opkomende concurrentie vanuit andere landen? Verlies van marktaandeel? Ongetwijfeld. Maar steeds vaker is het een gebrekkige informatiebeveiliging die de nachtrust verstoort.
 
Volgens het ‘2016 Risk:Value’-rapport dat Vanson Bourne opstelde in opdracht van NTT Communications wordt een gebrekkige infomatiebeveiliging gezien als een steeds groter bedrijfsrisico. In 2014 gaf negen procent van de ondervraagden aan hier wakker van te liggen. Een jaar later was dit percentage verdubbeld naar achttien procent. Ter vergelijking: evenveel respondenten noemden het verlies van marktaandeel als belangrijkste bedrijfsrisico.

Het toenemende aantal cyberaanvallen en de toenemende kosten van een digitale inbraak dragen ongetwijfeld bij aan het ongemakkelijke gevoel bij de eigen beveiliging. Zo bleek uit Ponemons ‘2015 Cost of Data Breach Study: Global Analysis’ dat de totale gemiddelde kosten van een ‘cyber breach’ de afgelopen twee jaar met 23 procent waren gestegen naar 3,79 miljoen dollar. Inderdaad een bedrag om even wakker van te liggen.

Wat houdt bedrijven tegen?
Maar waarom ondernemen bedrijven dan niet meer stappen om te komen tot een acceptabel niveau van security? Een belangrijk deel van het antwoord ligt denk ik in de complexiteit van beveiliging. Bedrijven weten simpelweg niet waar ze moeten beginnen. Security is een complex vakgebied geworden en daar zijn meerdere oorzaken voor aan te wijzen:

  • Het ‘matchen’ van security met de eigen organisatie – zodat de beveiligingsmaatregelen ook passen – is een lastig proces.
  • De security-oplossingen worden steeds complexer. Waar een traditionele firewall voornamelijk het in- en uitgaande verkeer scande, biedt de ‘next-generation firewall’ ook zaken als antivirus, Intrusion Prevention en applicatiecontrole. Die maatregelen moeten wel allemaal worden ingericht en beheerd.
  • Een veelheid aan controles – in combinatie met een toename van het dataverkeer – betekent ook een veelheid aan meldingen die een organisatie moet interpreteren en opvolgen.
  • Specialisten die de security kunnen inrichten en beheren en meldingen adequaat kunnen opvolgen, zijn lastig te vinden.

Regie nemen
Om te komen tot een niveau van beveiliging waar iedereen zich ‘comfortabel’ bij voelt, is het noodzakelijk dat de organisatie de regie krijgt over de security. Het moet voor iedereen duidelijk zijn welke risico’s de organisatie loopt, waarom bepaalde beveiligingsmaatregelen worden getroffen en hoe die maatregelen in de praktijk functioneren. Zeker organisaties die zelf niet beschikken over een omvangrijke security-afdeling, zullen dan merken dat ze een rustiger gevoel hebben bij de eigen informatiebeveiliging.

De transitie van een beheer- naar een regieorganisatie zal er voor ieder bedrijf anders uitzien en onder andere afhankelijk zijn van de huidige volwassenheid op het gebied van security. De meeste organisaties zullen in ieder geval gebaat zijn met deze drie stappen:

  • Breng de bedrijfsprocessen in kaart en stem daar de beveiligingspolicy’s op af. Er moet een gedetailleerd beeld zijn van de systemen en data die de belangrijkste processen ondersteunen, en die dus cruciaal zijn voor de business. De dreigingen voor deze ‘assets’ en het risico dat een organisatie loopt als ze niet beschikbaar zijn, zijn bepalend voor de beveiligingsmaatregelen die de organisatie treft.
  • Maak iedereen binnen de organisatie bewust van de risico’s en de noodzaak van een goede informatiebeveiliging. De zwakste schakel is en blijft de mens; te vaak weten hackers binnen te dingen via een medewerker die op een phishingmail klikt of een geïnfecteerde usb-stick in zijn laptop prikt. De risico’s moeten goed tussen de oren zitten.
  • Beoordeel of je zelf voldoende specialistische kennis in huis hebt om de security in te richten en het dagelijkse beheer en incident-response te doen. Met name het acteren op incidenten is specialistenwerk dat bij een externe partij wellicht in betere handen is.

IT’ers vinden met name dit laatste punt eng, het uitbesteden van security. Dat is begrijpelijk. Maar die angst zal minder worden als de organisatie zelf de regie heeft en begrijpt wat er gebeurt. De securitypartner zorgt er dan voor dat het goed gebeurt, en dat is toch wel een geruststellende gedachte.


Deze bijdrage is eerder verschenen op WINMAG Pro.

Lees meer over